Podozrenie z utoku 2 ADD
Willi Gruber
gruberw na connectel-cz.com
Středa Srpen 23 11:23:04 CEST 2000
Tak si taky k tomu neco povim. Nedavno nesla na jedne masine Samba.
Rikam si proc a hle:
- /etc/messages - nic, krome casovych znacek -- MARK --
(taky proto, ze masina skoro nic nedelala a nebylo spusteno skoro nic,
az na....., ale o tom dale)
- /etc/lastlog - 0 bytes
- /etc/secure - 0 bytes
- /etc/utmp - 0 bytes
- /etc/xferlog - 0 bytes
Aha, je to jasne. Tak se podivame dal...
find / -name "..." -print
... v /dev je nejaky adr., tedy /dev/.../id
soubor 'id' obsahuje radek 'root:m00' (hezky!!!!!!)
... v /dev pribyl take adr., tedy /dev/ttyyy a zde je
soubor inetd.conf (0 bytes) a adr. 'bnc', tedy /dev/ttyyy/bnc, kde
je soubor bnc.conf ve ktere jsou tyto radky:
pt:27686
ps:s3ct0r
mu:0
dp:6667
Jinak soubor /etc/inetd.conf je rovnez prazdny. Take pribyly dva stejne
radky
do /etc/rc.d/rc.local, a to:
/usr/sbin/in.identd -s
netstat ukazuje, ze je spojeni (asi 7x) na nasem portu 9704/tcp na
remote addr. 141.223.44.9 (porty kolem 4848-4855).
fuser 9704/tcp - ukazuje 9 procesu, ktere pouzivaji tyto sockety
ps axwu | grep #procesu - bezici 'sh. -i' pod rootem!!
Tak je to klasika, povedlo se. Na stroj se nebylo mozno prihlasit z
konzole ani z venku (jiste, chybel login atd.). Zajimalo by mne, zda se
s timhle nekdo jiz setkal a co je/bylo moznou dirou pro prunik a zda na
to existuje nejaky nastroj, jak to pripadne otestovat, zda je to ted (po
preinstalovani a apl. updatu) jeste mozne. Zkratka zahrat si na
crackera.
Pro info se jednalo o RH 6.2 bez par poslednich updatu, kernel 2.2.16.
GOOD LUCK!
S pozdravem,
WG
Další informace o konferenci Linux